Hallo erstmal...das hier ist so zu sagen meine letzte Hoffnung..da ich einfach garkeine nerven mehr habe...Nun ich komme gleich zum Punkt....

Habe einen Virencheck gemacht und der meint das unter c:/windows/downloaded program Files/rundlg32.dll ein Virus sei Adware.Iwantsearch....habe es dann eingegen und konnte nichts der gleichen finden...auch nicht nachdem ich alle unsichtbaren Ordner sichtbar gemacht habe..habe dann alles was mir fremd vor kam,nachdem ich den abgesicherten Modus eingeschaltet habe,gelöscht...wieder einen Virencheck gemacht...und wieder das gleiche....jetzt sehe ich in dem Pfad wie oben angegeben WUWebControl Class...keine ahnung was das ist...ob es der Virus ist oder nicht...oder was das eigentlich überhaupt sein soll...kann mir vielleicht jemand weiterhelfen was ich noch machen könnte um den Virus wieder los zu werden....würde mich wirklich freuen...denke mal geht jedem so...wenn er absolut null keinen Plan hat...

Hallo,
erstmal ganz ruhig durchatmen, auf deinem System ist, wenn überhaupt, ein Programm das Werbung einspielt, also erstmal nichts weshalb man durchdrehen sollte.

Zitat:

habe dann alles was mir fremd vor kam,nachdem ich den abgesicherten Modus eingeschaltet habe,gelöscht

Sowas solltest du lieber lassen, mit solchen Aktionen zerschießt man sich ganz leicht sein System, wenn man nicht genau weiß was man tut.

Also erstmal welches Programm (Virenscanner?) meldet die Adware?
Erstelle mal ein HijackThis Logfile wie hier beschrieben und poste es.

Und versuche noch mal mit dieser Anleitung die betreffende Datei zu suchen.


Grüße Wildone

Also ich habe das mal so gemacht wie beschrieben...aber gefunden habe ich Ihn dennoch nicht...habe den Virencheck auf der Seite www.symantec.de gemacht und er hat Ihn 2 mal angezeigt....habe dieses hijack mal gemacht und versuche es mal hier rein zu setzen

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Softwar

e\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Softwar

e\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.

EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Grisoft\AVG Free\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Grisoft\AVG Free\avgcc.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\miriam\Lokale

Einstellungen\Temp\Temporäres Verzeichnis 1 für

hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet

Explorer\Main,Search Bar =

http://google.icq.com/search/search_frame.php
O2 - BHO: Yahoo! Companion BHO -

{02478D38-C3F9-4efb-9B51-7695ECA05670} -

C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Radio -

{8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent -

{EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone

Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC]

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC]

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related -

{c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -

{c95fe080-8f5d-11d2-a20b-00aa003c157a} -

C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger -

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -

C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -

C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE}

(Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/SharedContent/vc/bin

/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C}

(WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont

rols/en/x86/client/wuweb_site.cab?1096916389718
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5}

(Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/SharedContent/common

/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/msnmessengersetupdown

loader.cab
O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A}

(UniVoiceX Control) -
http://webwolf.betteresolution.com/voice.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88}

(Yahoo! Assistent) -

http://us.dl1.yimg.com/download.companion.yahoo.com/dl/

toolbar/yiebio5_3_18_0.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{919D1251-998F-48D3-A

A86-40B410B7A794}: NameServer = 217.237.150.97

217.237.149.161
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) -

GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) -

GRISOFT, s.r.o. -

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) -

Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,
kannst du wegen der Übersichtlichkeit nochmal versuchen das ganze ohne Leerzeilen zu posten und editiere die Links (aus http mach hxxp)!
Der erste grobe Blick drüber hat allerdings nichts auffälliges zu Tage gefördert.
Wenn du willst kannst du mal Escan (Anleitung sorgfältig lesen!) drüberlaufen lassen und dann das Log wie in der Anleitung beschrieben posten.


Grüße Wildone

ok versuche es noch einmal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Grisoft\AVG Free\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\Grisoft\AVG Free\avgcc.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\miriam\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096916389718
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - hxxp://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BB95299D-B65B-47E0-8DDB-697A66298C3A} (UniVoiceX Control) - hxxp://webwolf.betteresolution.com/voice.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - hxxp://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{919D1251-998F-48D3-AA86-40B410B7A794}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,
also ich bleibe bei meiner Einschätzung, keine Auffälligkeiten. Mach mal das mit Escan dann sehen wir weiter. Du könntest mal noch den Kopf von dem Log mit den Systeminformationen nachreichen.


Grüße Wildone

Logfile of HijackThis v1.99.1
Scan saved at 12:58:38, on 19.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Hallo,
sollte eigentlich schon SP2 sein, aber dazu später noch, wenn ich dein Escan Log gesehen habe.


Grüße Wildone

tut mir wirklich leid aber ich blick da einfach nicht durch bei dem ganzen..habe das mal durchlaufen lassen aber es nicht hinbekommen das auch zu speichern wie ganz oben verlangt wurde...so kann ich es auch nicht hier rein setzen..68 virus hat er gefunden..und ich komm nicht weiter :-( tut mir leid...

Hallo,
öffne mal die Datei MWAV.Log mit dem Texteditor und suche dort über bearbeiten>>suchen nach den Stichwörtern "infected" und "tagged" und poste die jeweiligen Einträge. Hast du das Programm wenigstens in dem Ordner Bases_X installiert?


Grüße Wildone

genau das war es was ich nicht hin bekommen habe...ich sitze schon stunden hier ..ich danke dir echt tausend mal für deine hilfe..aber ich glaube ich bin echt zu doof für sowas...bekomme das nicht hin mit dem speichern...ich danke dir aber trozdem ...

Hallo,
jetzt mal ganz ruhig, es ist im Prinzip ganz einfach du gehst in den Explorer klickst auf C:\ dann gehst du oben auf Datei>>Neu>>Ordner diesen Ordner nennst du dann Bases_X in diesen Ordner schiebst du dann das Programm, klickst auf die kavUpd.exe, löschst die MWAV.LOG und läßt Escan nochmal laufen, dann machst du das oben beschriebene mit der neu erstellten MWAV.LOG.


Grüße Wildone

ich bin echt fix und fertig....kann vielleicht lustig klingen,ich bekomme es nicht hin...entschuldige das ich deine zeit so in anspruch genommen habe.P.

hatte sie nicht gespeichert ich werde es noch einmal versuchen

Hallo,
schade eigentlich, ich würde an deiner Stelle jetzt erstmal eine Pause machen, raus in die Sonne gehen und mich später noch mal mit dem ganzen auseinander setzen.


Grüße Wildone